News Kritische Exim-Lücke: Die Hälfte aller E-Mail-Server weltweit ist angreifbar

Frank · 6. Juni 2019

Rund 50 Prozent der weltweiten E-Mail-Server sind von einer kritischen Remote-Command-Execution-Schwachstelle betroffen, die es Angreifern erlaubt, als root Befehle auf den betroffenen Remote-E-Mail-Servern auszuführen. Die Lücke steckt in Exim, einem Mail Transfer Agent, der auf mehr als 50 Prozent aller Server läuft.

Zur News: Kritische Exim-Lücke: Die Hälfte aller E-Mail-Server weltweit ist angreifbar

yummycandy · 6. Juni 2019

Exim läuft mit Root-Rechten? Normalerweise bekommt der nen eigenen Account..... Mag sein, daß ein paar Distris das anders machen.

Fortatus · 6. Juni 2019

Um ein bisschen Zusatzinfo zu geben: Die von Debian genutzte Version 4.89 wurde im März 2017 veröffentlicht, ist also zwei Jahre alt. Selbst die gesicherte Version 4.92 ist 2 Monate vor Debian Stretch veröffentlicht worden. 4.91 ist vom April 2018...

Hauptsache stabil... bis der Hacker kommt

/edit: @yummycandy Laut Dokumentation (https://www.exim.org/exim-html-current/doc/html/spec_html/ch-security_considerations.html) läuft Exim standardmäßig mit Root.

yummycandy · 6. Juni 2019

Fortatus schrieb:
Hauptsache stabil... bis der Hacker kommt

Patches werden auch backported.

Cool Master · 6. Juni 2019

Debian hat schon aktualisiert auf 4.89+deb9u4

Weitere Infos für Debian:

https://security-tracker.debian.org/tracker/CVE-2019-10149

Fortatus · 6. Juni 2019

yummycandy schrieb:
Patches werden auch backported.

Werden alle Patches backported? An der Stelle könnte man eine Diskussion eröffnen, ob es gut ist Sicherheitspatches einzeln zu backporten.
Jeder Bug/Patch ist theoretisch sicherheitsrelevant. Selbst ein unscheinbarer Typo, der behoben wird, kann gleichzeitig ein (unbekanntes) Sicherheitsproblem beheben, dass vllt nach Jahren oder auch nie mehr bemerkt wird.

Die Version 4.92 behob im Februar dieses Problem. Im April wurde es erst entdeckt und jetzt gepatched. Wie viele bereits in der aktuellen Version gefixte Bugs sind in Debian aufgrund alter Softwareversion, weil ihre Relevanz nie entdeckt wurde und der entscheinende Patch nicht backported wurde? Das kann niemand sagen.

Yuuri · 6. Juni 2019

Plus Addressing for Dummies. Wie zur Hölle...? Der Diff würde mich wirklich mal interessieren. Aber irgendwie auch nicht...

yummycandy schrieb:
Exim läuft mit Root-Rechten? Normalerweise bekommt der nen eigenen Account..... Mag sein, daß ein paar Distris das anders machen.

Code:

yummycandy+rm%20-rf%20/@domain.tld

Was will ich mit root wenn ich auch einfach nur alle Mails auf dem/den Server(n) löschen kann? Einfach aus Jux und Dollerei. Oder Unwissenheit, weil man sich eben den Spaß mit rm -rf erlauben wollte und nicht weiß, dass Exim dass auch als Befehl deutet...

Fortatus schrieb:
Hauptsache stabil... bis der Hacker kommt

Debians "stabile" Philosophie kotzt mich auch immer wieder an... Immerhin sind sie bereits bei HTTP/2 beim Apache angelangt. PHP 7.0 liefern sie trotzdem noch aus, obwohl es seit nem halben Jahr obsolet ist...

Cool Master · 6. Juni 2019

Fortatus schrieb:
Wie viele bereits gefixte Bugs sind in Debian, weil ihre Relevanz nie entdeckt wurde und der entscheinende Patch nicht backported wurde?

Das kannst du für jede Software X fragen

Fortatus · 6. Juni 2019

@Cool Master Hab das etwas angepasst. Ging um den Vergleich aktuelle vs alte Softwareversion, die (z.B. in Debian) ausgeliefert wird. Natürlich hat jede Software Bugs und deren Anzahl ist unbekannt. Aber alte Software hat u.U. bekannte, in neueren Versionen gefixte Bugs, die leichter zu finden sind.

Entwickler kümmern sich halt um ihre unterstützten Versionen, d.h. normalerweise das aktuelle Release und eventuell LTS.
Kaum jemand sucht nach Lücken in alter Software. Außer er hat ein Interesse daran. Das wären z.B. Debian-Entwickler (die aber kaum all ihre alten Pakete einem Audit unterziehen können/wollen) oder z.B. Hacker, die wissen, dass auf einem Server alte Software läuft und diese nutzen wollen.

Ergänzung (6. Juni 2019)

Yuuri schrieb:
Plus Addressing for Dummies. Wie zur Hölle...? Der Diff würde mich wirklich mal interessieren. Aber irgendwie auch nicht...

Der Commit:
https://github.com/Exim/exim/commit/7ea1237c783e380d7bdb86c90b13d8203c7ecf26

Nochmal deutlich zitiert aus der Quelle:

Surprisingly, this vulnerability was fixed in version 4.92
(released on February 10, 2019):

[...]

but was not identified as a security vulnerability, and most operating
systems are therefore affected

Debian hat Glück gehabt, dass der Bug nachträglich noch als Sicherheitsproblem identifiziert wurde. Nächstes mal haben Sie weniger Glück, es gibt keinen Backport und dann laufen 50% der Webserver 2 Jahre mit einem offenen Scheunentor rum.

AYAlf · 6. Juni 2019

Wo ist der Erste, der hier schreibt ...

"Mir doch egal, ich hab doch nix zu verbergen, habt ihr etwa etwas zu verbergen?"

Oder bin ich hier zu früh dran? Vielleicht schreckt die Zuckerbergjünger auch nur die, für sie zu kryptische Überschrift ab.

Sulik · 6. Juni 2019

AYAlf schrieb:
Wo ist der Erste, der hier schreibt ...
"Mir doch egal, ich hab doch nix zu verbergen, habt ihr etwa etwas zu verbergen?"

Das wäre ja auch nur die Spitze des Eisberges...

Postman · 6. Juni 2019

Die Hälfte aller E-Mailserver?
Auf einem Microsoft Exchange Server läuft doch garantiert kein Exim.

Dann halte ich die Aussage "die Hälfte" mehr als übertrieben.

Atkatla · 6. Juni 2019

Postman schrieb:
Auf einem Microsoft Exchange Server läuft doch garantiert kein Exim.
Dann halte ich die Aussage "die Hälfte" mehr als übertrieben.

Wie kommst du darauf, dass Microsoft Exchange die Mehrheit oder die Hälfte darstellt?
https://en.wikipedia.org/wiki/List_of_mail_server_software#Product_statistics

Sinnfrei · 6. Juni 2019

Mit Postfix wär das nicht passiert.

Blutschlumpf · 6. Juni 2019

Postman schrieb:
Die Hälfte aller E-Mailserver?

Hätte Exim jetzt auch eher für die Ausnahme gehalten und gedacht, dass Postfix der Regelfall sei.

Faultier · 7. Juni 2019

Selber Hosten rockt.

Blutschlumpf · 7. Juni 2019

Was hat das damit zu tun wer den Server hostet?
Ich tippe ja mal du wirst kaum deinen MTA selber geschrieben haben.

Cool Master · 9. Juni 2019

Postman schrieb:
Die Hälfte aller E-Mailserver?
Auf einem Microsoft Exchange Server läuft doch garantiert kein Exim.

Wenn man bedenkt, dass ~80-90% aller Server mit Linux laufen kann 50% schon gut hinkommen, da es halt die Standard Software ist.

Blutschlumpf schrieb:
Hätte Exim jetzt auch eher für die Ausnahme gehalten und gedacht, dass Postfix der Regelfall sei.

Ich hab beides

Postfix läuft auf den Hauptservern und exim läuft, falls benötigt, in den VMs.

Suche

News Kritische Exim-Lücke: Die Hälfte aller E-Mail-Server weltweit ist angreifbar

Frank

Chefredakteur

yummycandy

Commodore

Fortatus

Commander

yummycandy

Commodore

Cool Master

Fleet Admiral

Fortatus

Commander

Yuuri

Fleet Admiral

Cool Master

Fleet Admiral

Fortatus

Commander

AYAlf

Commodore

Sulik

Ensign

Postman

Rear Admiral

Atkatla

Commander

Sinnfrei

Lieutenant

Blutschlumpf

Fleet Admiral

Faultier

Gast

Blutschlumpf

Fleet Admiral

Cool Master

Fleet Admiral

Ähnliche Themen